메인 콘텐츠로 건너뛰기

Documentation Index

Fetch the complete documentation index at: https://docs.openclaw.ai/llms.txt

Use this file to discover all available pages before exploring further.

이 페이지는 표준 SecretRef 자격 증명 표면을 정의합니다. 범위 의도:
  • 범위 포함: OpenClaw가 발급하거나 순환하지 않는, 엄격히 사용자가 제공한 자격 증명.
  • 범위 제외: 런타임에서 발급되거나 순환되는 자격 증명, OAuth 갱신 자료, 세션 유사 아티팩트.

지원되는 자격 증명

openclaw.json 대상 (secrets configure + secrets apply + secrets audit)

  • models.providers.*.apiKey
  • models.providers.*.headers.*
  • models.providers.*.request.auth.token
  • models.providers.*.request.auth.value
  • models.providers.*.request.headers.*
  • models.providers.*.request.proxy.tls.ca
  • models.providers.*.request.proxy.tls.cert
  • models.providers.*.request.proxy.tls.key
  • models.providers.*.request.proxy.tls.passphrase
  • models.providers.*.request.tls.ca
  • models.providers.*.request.tls.cert
  • models.providers.*.request.tls.key
  • models.providers.*.request.tls.passphrase
  • skills.entries.*.apiKey
  • agents.defaults.memorySearch.remote.apiKey
  • agents.list[].tts.providers.*.apiKey
  • agents.list[].memorySearch.remote.apiKey
  • talk.providers.*.apiKey
  • messages.tts.providers.*.apiKey
  • tools.web.fetch.firecrawl.apiKey
  • plugins.entries.acpx.config.mcpServers.*.env.*
  • plugins.entries.brave.config.webSearch.apiKey
  • plugins.entries.exa.config.webSearch.apiKey
  • plugins.entries.google.config.webSearch.apiKey
  • plugins.entries.xai.config.webSearch.apiKey
  • plugins.entries.moonshot.config.webSearch.apiKey
  • plugins.entries.perplexity.config.webSearch.apiKey
  • plugins.entries.firecrawl.config.webSearch.apiKey
  • plugins.entries.minimax.config.webSearch.apiKey
  • plugins.entries.tavily.config.webSearch.apiKey
  • plugins.entries.voice-call.config.realtime.providers.*.apiKey
  • plugins.entries.voice-call.config.streaming.providers.*.apiKey
  • plugins.entries.voice-call.config.tts.providers.*.apiKey
  • plugins.entries.voice-call.config.twilio.authToken
  • tools.web.search.apiKey
  • gateway.auth.password
  • gateway.auth.token
  • gateway.remote.token
  • gateway.remote.password
  • cron.webhookToken
  • channels.telegram.botToken
  • channels.telegram.webhookSecret
  • channels.telegram.accounts.*.botToken
  • channels.telegram.accounts.*.webhookSecret
  • channels.slack.botToken
  • channels.slack.appToken
  • channels.slack.userToken
  • channels.slack.signingSecret
  • channels.slack.accounts.*.botToken
  • channels.slack.accounts.*.appToken
  • channels.slack.accounts.*.userToken
  • channels.slack.accounts.*.signingSecret
  • channels.discord.token
  • channels.discord.pluralkit.token
  • channels.discord.voice.tts.providers.*.apiKey
  • channels.discord.accounts.*.token
  • channels.discord.accounts.*.pluralkit.token
  • channels.discord.accounts.*.voice.tts.providers.*.apiKey
  • channels.irc.password
  • channels.irc.nickserv.password
  • channels.irc.accounts.*.password
  • channels.irc.accounts.*.nickserv.password
  • channels.feishu.appSecret
  • channels.feishu.encryptKey
  • channels.feishu.verificationToken
  • channels.feishu.accounts.*.appSecret
  • channels.feishu.accounts.*.encryptKey
  • channels.feishu.accounts.*.verificationToken
  • channels.qqbot.clientSecret
  • channels.qqbot.accounts.*.clientSecret
  • channels.msteams.appPassword
  • channels.mattermost.botToken
  • channels.mattermost.accounts.*.botToken
  • channels.matrix.accessToken
  • channels.matrix.password
  • channels.matrix.accounts.*.accessToken
  • channels.matrix.accounts.*.password
  • channels.nextcloud-talk.botSecret
  • channels.nextcloud-talk.apiPassword
  • channels.nextcloud-talk.accounts.*.botSecret
  • channels.nextcloud-talk.accounts.*.apiPassword
  • channels.zalo.botToken
  • channels.zalo.webhookSecret
  • channels.zalo.accounts.*.botToken
  • channels.zalo.accounts.*.webhookSecret
  • channels.googlechat.serviceAccount 동위 serviceAccountRef를 통해 (호환성 예외)
  • channels.googlechat.accounts.*.serviceAccount 동위 serviceAccountRef를 통해 (호환성 예외)

auth-profiles.json 대상 (secrets configure + secrets apply + secrets audit)

  • profiles.*.keyRef (type: "api_key"; auth.profiles.<id>.mode = "oauth"일 때는 지원되지 않음)
  • profiles.*.tokenRef (type: "token"; auth.profiles.<id>.mode = "oauth"일 때는 지원되지 않음)
참고:
  • 인증 프로필 계획 대상에는 agentId가 필요합니다.
  • 계획 항목은 profiles.*.key / profiles.*.token을 대상으로 하며 동위 ref(keyRef / tokenRef)를 씁니다.
  • 인증 프로필 ref는 런타임 해석 및 감사 범위에 포함됩니다.
  • openclaw.json에서 SecretRef는 {"source":"env","provider":"default","id":"DISCORD_BOT_TOKEN"} 같은 구조화된 객체를 사용해야 합니다. 레거시 secretref-env:<ENV_VAR> 마커 문자열은 SecretRef 자격 증명 경로에서 거부됩니다. 유효한 마커를 마이그레이션하려면 openclaw doctor --fix를 실행하세요.
  • OAuth 정책 가드: auth.profiles.<id>.mode = "oauth"는 해당 프로필의 SecretRef 입력과 함께 사용할 수 없습니다. 이 정책을 위반하면 시작/재로드 및 인증 프로필 해석이 빠르게 실패합니다.
  • SecretRef로 관리되는 모델 제공자의 경우 생성된 agents/*/agent/models.json 항목은 apiKey/헤더 표면에 대해 비밀 값이 해석된 값이 아니라 비밀이 아닌 마커를 유지합니다.
  • 마커 지속성은 소스 기준입니다. OpenClaw는 해석된 런타임 비밀 값이 아니라 활성 소스 구성 스냅샷(해석 전)의 마커를 씁니다.
  • 웹 검색의 경우:
    • 명시적 제공자 모드(tools.web.search.provider 설정됨)에서는 선택된 제공자 키만 활성 상태입니다.
    • 자동 모드(tools.web.search.provider 미설정)에서는 우선순위에 따라 해석되는 첫 번째 제공자 키만 활성 상태입니다.
    • 자동 모드에서는 선택되지 않은 제공자 ref가 선택될 때까지 비활성으로 취급됩니다.
    • 레거시 tools.web.search.* 제공자 경로는 호환성 기간 동안 계속 해석되지만, 표준 SecretRef 표면은 plugins.entries.<plugin>.config.webSearch.*입니다.

지원되지 않는 자격 증명

범위에서 제외되는 자격 증명은 다음과 같습니다.
  • commands.ownerDisplaySecret
  • hooks.token
  • hooks.gmail.pushToken
  • hooks.mappings[].sessionKey
  • auth-profiles.oauth.*
  • channels.discord.threadBindings.webhookToken
  • channels.discord.accounts.*.threadBindings.webhookToken
  • channels.whatsapp.creds.json
  • channels.whatsapp.accounts.*.creds.json
근거:
  • 이러한 자격 증명은 발급, 순환, 세션 보유 또는 OAuth 지속 클래스에 해당하여 읽기 전용 외부 SecretRef 해석에 적합하지 않습니다.

관련